security - क्या यह बाहरी उपयोगकर्ताओं को सक्रिय निर्देशिका में डालने का एक बुरा अभ्यास है?




authentication active-directory (2)

अपने बाह्य उपयोगकर्ताओं के लिए एक नया एडी वन बनाएं, आपको कुछ बेहतर सुरक्षा स्थापित करने की आवश्यकता हो सकती है, लेकिन दोनों को निर्बाध प्रमाणीकरण के लिए सम्मिलित किया जा सकता है।

आपको लॉगिंग करते समय एक अलग डोमेन का उपयोग करने के लिए उन्हें बताने की ज़रूरत होगी (जैसे आपके सामान्य उपयोगकर्ता 'माइक्रॉर्प' का उपयोग करते हैं, बाहरी उपयोग 'बाहरी स्कॉर्प') लेकिन अन्यथा यह पूरी तरह से पारदर्शी है।

हमारे पास एक मौजूदा वेब अनुप्रयोग है और हम एक सक्रिय प्रमाणीकरण समाधान से सक्रिय डायरेक्ट्री फेडरेशन सर्विसेज में माइग्रेट करना चाहते हैं ताकि हमारे पार्टनर संगठन अपने उपयोगकर्ताओं की ओर से उनके पक्ष में प्राधिकरण का प्रबंधन कर सकें।

अभी साइट प्रमाणिकरण और प्राधिकरण का प्रबंधन करने के लिए उपयोगकर्ता और कस्टम लॉजिक प्रबंधित करने के लिए कस्टम डेटाबेस तालिकाओं का उपयोग कर रही है।

भागीदार संगठनों के अलावा जो अपने उपयोगकर्ताओं को प्रमाणित करेंगे और ADFS के माध्यम से पहुंच प्राप्त करेंगे, हमारे पास आंतरिक उपयोगकर्ता हैं जो हमारे सक्रिय निर्देशिका डोमेन में हैं इन उपयोगकर्ताओं को एडीएफएस के माध्यम से प्रमाणित किया जा सकता है।

हमारा प्रश्न हमारे बाह्य उपयोगकर्ताओं के आसपास घूमता है यह साइट व्यक्ति को पंजीकरण करने की भी अनुमति देता है। इन व्यक्तियों के पास कोई ऐसा संगठन नहीं है जिसके लिए वे काम करते हैं, इसलिए हम उनके प्रमाणीकरण को प्रबंधित करने के लिए एडीएफएस का उपयोग नहीं कर सकते।

चूंकि हमें इन व्यक्तियों के समर्थन की आवश्यकता है, इसलिए हमें अपने उपयोगकर्ता खाते प्रबंधित करने की आवश्यकता है।

एडीएफएस केवल एक्टिव डायरेक्ट्री या एक्टिव डायरेक्ट्री एप्लीकेशन मोड अकाउंट स्टोर्स से कनेक्ट कर सकते हैं।

चूंकि एडीएफएस केवल इन अकाउंट स्टोर्स का समर्थन करता है, ऐसा लगता है कि तार्किक समाधान हमारे सक्रिय निर्देशिका डोमेन में बाह्य उपयोगकर्ताओं के लिए खाता बनाना है।

इसका मतलब यह होगा कि हम हमारे कस्टम डेटाबेस में नए रिकॉर्ड बनाने के बजाय सक्रिय सक्रिय निर्देशिका में नए उपयोगकर्ता खाते बनाने के लिए हमारे पंजीकरण पृष्ठ अपडेट करेंगे।

तो, क्या यह एक बुरा अभ्यास है? क्या विज्ञापन को किसी के संगठन के बाहर के उपयोगकर्ताओं के लिए इस्तेमाल किया जा सकता है? एडीएफएस का उपयोग करते समय दूसरों को इस प्रकार की स्थिति को कैसे नियंत्रित करता है?


मुझे लगता है कि आपको जो प्रश्न पूछने की ज़रूरत है वह नहीं है कि अगर सक्रिय निर्देशिका में बाहरी खातों को संचित करना बुरा है, लेकिन अगर एक ही जंगल में खातों को संग्रहीत करना क्योंकि आपके आंतरिक खाते खराब हैं यह किया जा सकता है, लेकिन मैं गिरने से सहमत हूं कि मैं आंतरिक वनों के साथ एक ही जंगल में बाहरी खाते नहीं डालूंगा।

अतीत में जब हमने एक एडी स्टोर का इस्तेमाल बाहरी खाते में किया था, हमने एक नया जंगल बनाया और वहां बाहरी उपयोगकर्ताओं को वहां रखा और फिर दो डोमेन पर भरोसा किया। मेरी राय में यह एक बेहतर विकल्प है क्योंकि उच्चतम उपयोग उपयोगकर्ताओं को आंतरिक नेटवर्क के पास विश्वास द्वारा सीमित किया जाता है और किसी उपयोगकर्ता के खाते से नहीं। यदि डोमेन शामिल है तो आप इसे हमेशा बंद कर सकते हैं और आपको पता चल जाएगा कि बाहरी के साथ कुछ भी नहीं आंतरिक नेटवर्क का उपयोग कर सकता है यह आपको बाहरी और आंतरिक उपयोगकर्ताओं के बीच अलग-अलग सुरक्षा नीतियों के लिए भी अनुमति देता है







adfs